AWSCloudTrail
从 Sentinel 连接器引入的 CloudTrail 日志保存 Amazon Wev Services 帐户的所有数据和管理事件。
表属性
Attribute | 值 |
---|---|
资源类型 | - |
类别 | 安全性 |
解决方案 | SecurityInsights |
基本日志 | 否 |
引入时间转换 | 是 |
示例查询 | 是 |
列
列 | 类型 | 说明 |
---|---|---|
AdditionalEventData | 字符串 | 有关不属于请求或响应的事件的其他数据。 |
APIVersion | 字符串 | 标识与 AwsApiCall eventType 值关联的 API 版本。 |
AwsEventId | 字符串 | 由 CloudTrail 生成的 GUID,用于唯一标识每个事件。 可以使用此值来标识单个事件。 |
AWSRegion | 字符串 | 发出请求的 AWS 区域。 |
AwsRequestId | 字符串 | 已弃用,请改用 AwsRequestId_。 |
AwsRequestId_ | 字符串 | 标识请求的值。 正在调用的服务将生成此值。 |
_BilledSize | real | 记录大小(以字节为单位) |
Category | string | 显示 LookupEvents 调用中使用的事件类别。 |
CidrIp | 字符串 | CIDR IP 位于 CloudTrail 中的 RequestParameters 下,用于指定安全组规则的 IP 权限。 IPv4 CIDR 范围。 |
CipherSuite | 字符串 | 可选。 tlsDetails 的一部分。 密码套件 (请求) 使用的安全算法组合。 |
ClientProvidedHostHeader | 字符串 | 可选。 tlsDetails 的一部分。 服务 API 调用中使用的客户端提供的主机名,通常为服务终结点的 FQDN。 |
DestinationPort | 字符串 | DestinationPort 位于 CloudTrail 中的 RequestParameters 下,用于指定安全组规则的 IP 权限。 TCP 和 UDP 协议或 ICMP 代码的端口范围的结束。 |
EC2RoleDelivery | 字符串 | 发出会话的用户或角色的友好名称。 |
ErrorCode | 字符串 | 如果请求返回错误,则为 AWS 服务错误。 |
ErrorMessage | string | 错误说明(如果可用)。 此消息包括授权失败的消息。 CloudTrail 捕获服务在其异常处理中记录的消息。 |
EventName | 字符串 | 请求的操作,它是该服务的 API 中的操作之一。 |
EventSource | 字符串 | 发出请求的服务。 此名称通常是服务名称的缩写形式,不含空格和 .amazonaws.com。 |
EventTypeName | 字符串 | 标识生成事件记录的事件的类型。 这可以是以下值之一:AwsApiCall、AwsServiceEvent、AwsConsoleAction 、AwsConsoleSignIn。 |
EventVersion | 字符串 | 日志事件格式的版本。 |
IpProtocol | 字符串 | IP 协议位于 CloudTrail 中的 RequestParameters 下,用于指定安全组规则的 IP 权限。 IP 协议名称或编号。 有效值为 tcp、udp、icmp 或协议编号。 |
_IsBillable | 字符串 | 指定引入数据是否可计费。 当_IsBillable false 引入时,不会向 Azure 帐户计费 |
ManagementEvent | bool | 一个布尔值,该值标识事件是否为管理事件。 |
OperationName | string | 常量值:CloudTrail。 |
ReadOnly | bool | 标识此操作是否为只读操作。 |
RecipientAccountId | 字符串 | 表示接收此事件的帐户 ID。 recipientAccountID 可能与 CloudTrail userIdentity Element accountId 不同。 这可能发生在跨帐户资源访问中。 |
RequestParameters | 字符串 | 随请求一起发送的参数(如果有)。 这些参数记录在相应 AWS 服务的 API 参考文档中。 |
资源 | 字符串 | 事件中访问的资源列表。 |
ResponseElements | 字符串 | 在) 创建、更新或删除操作 (进行更改的操作的响应元素。 例如,如果某个操作未更改状态 (获取或列出对象的请求) ,则省略此元素。 |
ServiceEventDetails | 字符串 | 标识服务事件,包括触发事件和结果的内容。 |
SessionCreationDate | datetime | 颁发临时安全凭据的日期和时间。 |
SessionIssuerAccountId | 字符串 | 拥有用于获取凭据的实体的帐户。 |
SessionIssuerArn | 字符串 | 用于获取临时安全凭据的源 (帐户、IAM 用户或角色) 的 ARN。 |
SessionIssuerPrincipalId | 字符串 | 用于获取凭据的实体的内部 ID。 |
SessionIssuerType | 字符串 | 临时安全凭据的源,例如 Root、IAMUser 或 Role。 |
SessionIssuerUserName | 字符串 | 发出会话的用户或角色的友好名称。 |
SessionMfaAuthenticated | bool | 如果凭据用于请求的根用户或 IAM 用户也通过 MFA 设备进行身份验证,则值为 true;否则为 false。 |
SharedEventId | 字符串 | CloudTrail 生成的 GUID,用于唯一标识发送到不同 AWS 帐户的同一 AWS 操作中的 CloudTrail 事件。 |
SourceIpAddress | 字符串 | 发出请求的 IP 地址。 对于源自服务控制台的操作,报告的地址适用于基础客户资源,而不是控制台 Web 服务器。 对于 AWS 中的服务,仅显示 DNS 名称。 |
SourcePort | 字符串 | SourcePort 位于 CloudTrail 中的 RequestParameters 下,用于指定安全组规则的 IP 权限。 TCP 和 UDP 协议的端口范围的开始,或 ICMP 类型编号。 |
SourceSystem | 字符串 | 事件收集依据的代理类型。 例如,OpsManager 对于 Windows 代理,对于直接连接或 Operations Manager,Linux 对于所有 Linux 代理,或者Azure 对于 Azure 诊断 |
TenantId | 字符串 | Log Analytics 工作区 ID |
TimeGenerated | datetime | 时间戳 (UTC) 。 事件的时间戳来自提供进行 API 调用的服务 API 终结点的本地主机。 |
TlsVersion | 字符串 | 可选。 tlsDetails 的一部分。 请求的 TLS 版本。 |
类型 | 字符串 | 表的名称 |
UserAgent | 字符串 | 发出请求的代理,例如 AWS 管理控制台、AWS 服务、AWS SDK 或 AWS CLI。 |
UserIdentityAccessKeyId | 字符串 | 用于对请求进行签名的访问密钥 ID。 |
UserIdentityAccountId | 字符串 | 拥有授予请求权限的实体的帐户。 |
UserIdentityArn | 字符串 | Amazon 资源名称 (进行调用的主体的 ARN) 。 |
UserIdentityInvokedBy | 字符串 | 发出请求的 AWS 服务的名称。 |
UserIdentityPrincipalid | 字符串 | 进行调用的实体的唯一标识符。 |
UserIdentityType | 字符串 | 标识的类型。 可以使用以下值:Root、IAMUser、AssumedRole、FederatedUser、Directory、AWSAccount、AWSService、Unknown。 |
UserIdentityUserName | 字符串 | 进行调用的标识的名称。 |
VpcEndpointId | 字符串 | 标识从 VPC 向另一个 AWS 服务发出请求的 VPC 终结点。 |
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈